Eleven11bot」と名付けられた新たなボットネットマルウェアが、主にセキュリティカメラやネットワークビデオレコーダー(NVR)など、86,000台以上のIoTデバイスに感染し、DDoS攻撃を行っている。
このボットネットは、イランとの関連が緩く、すでに通信サービス・プロバイダーやオンライン・ゲーム・サーバーを標的とした分散型サービス拒否(DDoS)攻撃を開始している。
Eleven11botはノキアの研究者によって発見され、その詳細を脅威監視プラットフォームGreyNoiseと共有した。
ノキアのセキュリティ研究者であるジェローム・メイヤーは、Eleven11botは近年彼らが観測した中で最大規模のDDoSボットネットの1つであるとコメントしている。
「主に侵害されたウェブカメラとネットワークビデオレコーダー(NVR)で構成されるこのボットネットは、急速に成長し、30,000台を超えています。
「その規模は、非国家主体によるボットネットの中でも群を抜いており、2022年2月のウクライナ侵攻以降に観測された既知のDDoSボットネットキャンペーンの中でも最大級のものである。
本日未明、脅威監視プラットフォームThe Shadowserver Foundationは、Eleven11botボットネットに86,400台のデバイスが感染しており、そのほとんどが米国、英国、メキシコ、カナダ、オーストラリアにあると報告した。
ソースはこちら:シャドウサーバー財団
Meyer氏によると、このボットネットの攻撃量は毎秒数億パケットに達し、その期間は数日に及ぶことが多いという。
GreyNoiseはCensysの協力を得て、過去1ヶ月間にボットネットの動作に関連する1,400のIPを記録し、その96%は(偽装されていない)本物のデバイスからのものであった。
出典:グレーノイズ
これらのIPアドレスの大半はイランを拠点としており、300件以上がGreyNoiseによって悪意のあるものとして分類されている。
GreyNoiseの報告によると、このマルウェアは、弱いまたは一般的な管理者ユーザー認証情報をブルートフォースしたり、特定のIoTモデルの既知のデフォルト認証情報を活用したり、公開されたTelnetやSSHポートのネットワークを積極的にスキャンしたりすることで拡散している。
GreyNoiseは、Eleven11botにリンクされ、悪意のあるアクションを実行することが確認されたIPアドレスのリストを公開しているため、防御者はこのリストをブロックリストに追加し、疑わしいログインの試みを監視することが推奨される。
一般的には、すべてのIoTが最新のファームウェア・バージョンを実行していること、必要なければリモート・アクセス機能を無効にしていること、デフォルトの管理者アカウントの認証情報を強力でユニークなものに変更していることを確認することが望ましい。
IoTは一般的にベンダーから長期的なサポートを受けられないため、デバイスが耐用年数(EOL)に達していないことを定期的に確認し、新しいモデルに交換することが重要です。
Comments